導語

大家好，我是龔詩然，來自中國信息通信研究院，我分享的內容是數(shù)據(jù)安全治理能力提升，跟我之前提供的標題可能會有一些不同，具體原因會在后面詳細介紹。我現(xiàn)在是在信通院云大所，參與數(shù)據(jù)安全治理以及相關評估標準文件制定的工作，我的工作經驗和性質和常見的網(wǎng)絡信息安全技術開發(fā)測試不相關，大家可以簡單理解為我是一個安全方面的合規(guī)輝咨詢顧問。只不過我以前是在公司的內部提供一些合規(guī)咨詢，現(xiàn)在我以第三方的視角為我們的成員單位或者是我們參加評估的企業(yè)提供合規(guī)評估的視角。我本人是在企業(yè)的數(shù)據(jù)安全方面的組織規(guī)劃、人員管理制度體系、流程機制方面的痛點問題有一定經驗。

再向大家簡單介紹一下中國信息通信研究院，我們是工信部直屬的科研事業(yè)單位，是國家在信息通信領域的支撐單位和政策方面的依托單位。在信息通信業(yè)發(fā)展戰(zhàn)略，自主創(chuàng)新等方面，是基本經驗提升能力，致力于提供我們的行業(yè)解決方案。我所在的研究所是云計算與大數(shù)據(jù)研究所，我們所是院方圍繞著云計算大數(shù)據(jù)人工智能數(shù)據(jù)中心等關鍵領域，開展技術和標準研究，然后推出一系列產品測試評估工作，承接國家重大科技項目，產業(yè)化項目，咨詢服務的研究所。

因為我本人近期是在參與企業(yè)的數(shù)據(jù)安全治理能力評估，我原計劃是在本次峰會和論壇上分享一些評估過程中我發(fā)現(xiàn)的共性問題的，還有部分企業(yè)的優(yōu)秀解決方案，或者說安全合規(guī)治理，或者整改思路。但是因為我們的評估項目剛剛進入第二批，部分企業(yè)的評估結論還在內部評審的過程中，所以這次暫時不能跟大家分享。所以把內容暫時調整成了常規(guī)的法律解讀，此外是我們在數(shù)據(jù)安全治理，也就是DSG評估項目中的一些工作思路和具體進展，還有我們在數(shù)據(jù)安全法發(fā)布同天發(fā)起的數(shù)據(jù)安全推進計劃的工作和進展，以及云大所現(xiàn)在的一些其他的優(yōu)勢活動和工作內容。

首先在第一part，要給大家介紹立法背景、立法沿革、還有一些理念與特點、框架與要點的內容。

立法背景也是老生常談的一個話題了，我個人認為分兩個方面，一方面是外力驅動，一方面是內部需求。在外力驅動方面，主要有兩條，一個是美國的《澄清域外合法使用數(shù)據(jù)》和歐盟的GDPR，現(xiàn)在全球有100個國家和地區(qū)制定了數(shù)據(jù)安全和保護的法律，數(shù)據(jù)安全保護專項立法已經成為國際的慣例，演變成了一個全球范圍的利益協(xié)調和主權斗爭的工具。從這兩個方案來看，立法趨勢也表現(xiàn)在爭奪數(shù)據(jù)的話語權方面，積極推行符合自己國家利益的訴求的國際社會的數(shù)據(jù)規(guī)則體系，擴張自己本國法律的適用范圍和指導行為的域外效力。

隨著我們國家綜合國力的提升，數(shù)據(jù)安全成為一些部分國家對于中國的專門立法的一個重要關系，也成為了一些抑制我們創(chuàng)新技術發(fā)展的借口，營造不太利于國家的輿論氛圍，擠壓我們的生存空間，所以這就是外力驅動方面的背景介紹。從內部需求方面來看，包括數(shù)字經濟發(fā)展蓬勃，增速快；數(shù)據(jù)安全政策導向明確，國家數(shù)據(jù)戰(zhàn)略清晰。這部分內容在我們今年的中國數(shù)字經濟發(fā)展白皮書中，也有一些比較詳細的內容如果有興趣可參考左下角標注。

從立法嚴格的角度來說，數(shù)據(jù)安全法正式發(fā)布，進一步的完善了立法的頂層設計，搭建了一個網(wǎng)絡安全治理的基本規(guī)則框架，也成為了我們國家這數(shù)據(jù)保護的基本方法之一。有利于提升數(shù)據(jù)安全保障能力，也同時加速了個人信息保護進程。這些法律法規(guī)總結起來是這樣的框架，大家可以根據(jù)自己所在的這個行業(yè)特點，或者是相應的需求去進行學習和檢索。

數(shù)據(jù)安全法的總體理念和特點在前面對背景介紹和體系框架圖這兩層鋪墊下就很明確了。數(shù)據(jù)安全法延續(xù)了網(wǎng)安法和國安法的基本法律框架，面向當前局勢是將數(shù)據(jù)作為單獨管理的對象抽離出來，制定了當前數(shù)字經濟時代的主脈絡?？傮w理念是用數(shù)據(jù)的開發(fā)利用和產業(yè)發(fā)展來促進數(shù)據(jù)安全，用數(shù)據(jù)安全再反過來保障開發(fā)利用和產業(yè)的發(fā)展。具體來說可以總結為三個特點：兼顧數(shù)據(jù)安全與發(fā)展，加強制度和治理框架的銜接，回應社會公眾的關切。具體來說，首先數(shù)據(jù)安全法，在內容上設立專章去支持促進安全發(fā)展做了一些規(guī)定，保護個人和組織與數(shù)據(jù)有關的相應的權益，提升數(shù)據(jù)治理和開發(fā)利用的水平。另一方面，說到加強制度和體系框架的銜接，數(shù)據(jù)安全法從基礎定義，安全管理，數(shù)據(jù)分析，還有重要數(shù)據(jù)出現(xiàn)等方面，進一步加強了與網(wǎng)絡安全法的法律銜接。另一方面回應公眾關切，加大了數(shù)據(jù)處理違法違規(guī)處罰力度，建設重要數(shù)據(jù)管理和行業(yè)自律以及數(shù)據(jù)交易自律的制度。在實踐過程中回應社會公眾比較關注的一些問題。

剛才為大家簡要介紹了數(shù)據(jù)安全法的重要特點。如果把這個整體目錄展開來看，我自己總結應該是這樣框架。

總體來說是明確各部門的責任，重要的部分是在建立數(shù)據(jù)分類分級保護的制度，在這部法律里強調了關于數(shù)據(jù)分類分級保護的制度，以及關于制定重要數(shù)據(jù)的目錄，加強重要數(shù)據(jù)的保護這方面的內容。特別的是在數(shù)據(jù)安全檢測評估和認證方面，因為有了數(shù)據(jù)安全保護的大的國家趨勢，但是企業(yè)需要在執(zhí)行落地的時候，需要一些指導。因為作為一個基本性法律它再具體的一些細節(jié)方面無法完全覆蓋，所以在這部法律里國家強調關于數(shù)據(jù)安全方面的檢測評估認證服務，應該促進發(fā)展，支持做相應的檢測評估認證，開展服務活動，支持有關部門行業(yè)組織，企業(yè)，教育科研機構做數(shù)據(jù)安全的風險評估防范處理這方面的工作。這個在第二part我會展開來講。

還有一些其他的重點，但是我相信大家如果對數(shù)據(jù)安全法有所關注的話，應該也看過很多相應的解讀內容了。比較有特點的是建立數(shù)據(jù)安全應急處置機制和安全審查制度，比如說在數(shù)據(jù)處理活動中發(fā)生的安全事件應該怎樣去啟動應急預案，采取相應的應急處置措施，然后向社會發(fā)布相應的警示信息。案件審查方面在去年國家網(wǎng)信辦聯(lián)合多部門發(fā)布了網(wǎng)絡安全審查辦法，對于運營者采購網(wǎng)絡產品和服務，影響或者可能影響國家安全方面，進行網(wǎng)絡安全審查。這次數(shù)據(jù)安全法也明確了國家建立了數(shù)據(jù)安全檢查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查，這意味著安全審查不能通過行政復議行政訴訟這樣的方法進行救急。

其他方面包括健全數(shù)據(jù)安全的管理制度，比如說在第27條明確說明建立健全全流程的數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全培訓教育，采取相應的技術措施和必要措施來保證數(shù)據(jù)安全。以及第30條重要數(shù)據(jù)的處理者應該按照規(guī)定，決定及開展風險評估，并向有關部門報送風險評估報告。這一方面為什么要特別展開來說呢？在我們實踐評估的過程中發(fā)現(xiàn)企業(yè)缺乏指導，也不太清楚應該如何開展這方面的工作。這時我們在實踐過程中發(fā)現(xiàn)了一些問題。

剛才提到的是數(shù)據(jù)安全法推出之后，工作趨勢和企業(yè)需要關注的合規(guī)監(jiān)管要求。那么關于數(shù)據(jù)安全治理方面，在這一部分進行展開。

總結來說，數(shù)據(jù)安全法高頻提到的詞是建立健全數(shù)據(jù)安全治理體系，管理制度。明確的表示了組織在開展數(shù)據(jù)安全治理，數(shù)據(jù)開發(fā)利用，國家標準制定這些領域的交流合作，也表示了對數(shù)據(jù)安全檢測評估認證這樣的一個外部服務的支持。通過數(shù)據(jù)安全治理提升業(yè)的數(shù)據(jù)安全水平，已經成為一種行業(yè)共識。關于落實數(shù)據(jù)安全保護，還有個人信息保護，因為有很多企業(yè)涉及到處理大量的用戶個人信息，所以說落實這一方面的保護和保護義務，也需要馬上建立數(shù)據(jù)安全的治理體系，數(shù)據(jù)安全的治理體系我理解不僅僅是一套工具，組合，產品解決方案。數(shù)據(jù)安全治理不僅是一套工具和產品級解決方案，還包括了從決策層，技術層，從管理制度到工具支撐是整個從上而下貫穿整個組織和架構的完整的鏈條，所以四個小圖表示我們對數(shù)據(jù)安全治理體系的一個觀點，也就是說在數(shù)據(jù)安全治理體系中，首先要有明確的組織架構作為我們治理體系的保障，另一方面需要體系化的制度流程作為管理依據(jù)，然后完備的技術工具作為企業(yè)數(shù)據(jù)安全治理的能力底座，最后也是我們經常提到的，安全是需要一直做支撐的，也就是說合格的人員意識以及安全的相應能力才能成為企業(yè)數(shù)據(jù)安全治理的有效支撐。

再展開來說，在實踐的過程當中，這四方面其實結合起來也變成了三個大的問題。在做評估時，有些企業(yè)雖然規(guī)模很大，或者是所涉及到的數(shù)據(jù)，個人信息體量特別大，但是沒有非常完善和健全管理組織體系和組織架構，也就是說針對于數(shù)據(jù)信息的保護、安全措施，很難規(guī)劃說是哪一個部門在管，沒有一個清晰的一個管理組織機構。我們也認為在企業(yè)的數(shù)據(jù)安全管理很大一部分取決于這個公司的主要領導是否重視，是否具備一個完善的數(shù)據(jù)安全管理的組織。這個在我們評估過程中是比較重要的一個點。比較理想的狀態(tài)是能形成一種管理層重視，一把手負責，全員參與的管理模式。我們見到在企業(yè)的治理方面做的比較好的一些單位，他們都是是基本上是這種組織形式。首先是管理層非常重視，牽頭的那位領導資源和話語權比較大，另一方面是各條線的業(yè)務線負責人直接負責，然后全員有明確的分工并且落實到了具體的制度文件或者人員清單中。

-END-